Những hệ thống CNTT luôn tồn tại những điểm yếu bảo mật mà tin tặc có thể lợi dụng khai thác để phá hoại. Do đó, các tổ chức cần phải đi trướctin tặc một bước, cụ thể là tìm ra điểm yếu trong hệ thống CNTT của đơn vị và khắc phục những điểm yếu đó trước khi thực sự bị tấn công bởi tin tặc.
Tuy nhiên, việc đánh giá định kỳ hệ thống CNTT của một tổ chức rất phức tạp, và đòi hỏi tính khách quan cao nên các tổ chức đã hướng đến việc sử dụngcác Dịch vụ Kiểm định và Đánh giá ATTT của các tổ chức bên ngoài. Dịch vụ Kiểm tra và Đánh giá ATTT (Penetration Testing), hay còn gọi là Pentest, là hình thức kiểm tra hệ thống CNTT của khách hàng có thể bị tấn công hay không, bằng cách đóng vai tin tặc và giả lập các vụ tấn công thửnghiệm váo hệ thống của khách hàng.